java sql 字符串_java用字符串拼接SQL语句的特殊字符转义问题

于 2021-02-22 15:27:53 发布
阅读量1.6k 收藏 1
点赞数
文章标签: java sql 字符串
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36331312/article/details/114483111
版权

[单就 MSSQLSERVER  分以下情况 (可以 用print 来验证 dbms 是怎么 来理解的 )  1. print 'abc'  得到 abc  2. print 'abc=''d' 得到 abc='d  3.print 'abc=''d'

在实际的项目开发中,往往会根据用户在界面的文本框中输入的信息,去数据库中做模糊查询。如果使用的是原始的JDBC和SQL,往往需要对用户的输入进行转义,避免生成的sql语法错误,或者防止SQL注入。比如对输入的%和_和',就需要进行转义,因为这3个字符是SQL的特殊字符,如果不处理会导致sql出错或者是查询数据不正确。

假如有这样1个查询请求,模糊查询标题中包含a%b_cc'd的记录,正确的sql应该是下面这样的:

select * from t_sch_work_info t where t.title like '%a/%b/_cc''d%' ESCAPE '/';

这就需要对String content = "a%b_cc'd";进行转义后,再拼成SQL语句。oracle数据库允许我们使用自己定义的字符作为转义字符。看了下我们项目DAO层的编码风格,使用到了2种转义字符 \  和  /  。定位问题的时候发现,有人拼接SQL语句出错。自己用这2种字符,写了2个公用方法,经过测试是正确的。

[当sql语句和变量进行拼接时,如下:>添加工作记录当多个变量作为参数进行拼接时,如下:&small=&id=> 如果是sql拼接,则用:String sql=select * from yonghu where usern

/**

*

* 对content的内容进行转换后,在作为oracle查询的条件字段值。使用/作为oracle的转义字符,比较合适。

* 既能达到效果,而且java代码相对容易理解,建议这种使用方式

* "%'" + content + "'% ESCAPE '/' "这种拼接sql看起来也容易理解

*

* @param content

* @return

*/

public static String decodeSpecialCharsWhenLikeUseBackslash(String content)

{

// 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号

String afterDecode = content.replaceAll("'", "''");

// 由于使用了/作为ESCAPE的转义特殊字符,所以需要对该字符进行转义

// 这里的作用是将"a/a"转成"a//a"

afterDecode = afterDecode.replaceAll("/", "//");

// 使用转义字符 /,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("%", "/%");

// 使用转义字符 /,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("_", "/_");

return afterDecode;

}

/**

* 对content的内容进行转换后,在作为oracle查询的条件字段值。使用\作为oracle的转义字符。

* 这种做法也能达到目的,但不是好的做法,比较容易出错,而且代码很那看懂。

* "%'" + content + "'% ESCAPE '\' "这种拼接sql实际上是错误的.

* "%'" + content + "'% ESCAPE '\\' "这种拼接sql才是正确的

*

* @param content

* @return

*/

public static String decodeSpecialCharsWhenLikeUseSlash(String content)

{

// 单引号是oracle字符串的边界,oralce中用2个单引号代表1个单引号

String afterDecode = content.replaceAll("'", "''");

// 由于使用了\作为ESCAPE的转义特殊字符,所以需要对该字符进行转义

// 由于\在java和正则表达式中都是特殊字符,需要进行特殊处理

// 这里的作用是将"a\a"转成"a\\a"

afterDecode = afterDecode.replaceAll("\\\\", "\\\\\\\\");

// 使用转义字符 \,对oracle特殊字符% 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("%", "\\\\%");

// 使用转义字符 \,对oracle特殊字符_ 进行转义,只作为普通查询字符,不是模糊匹配

afterDecode = afterDecode.replaceAll("_", "\\\\_");

return afterDecode;

}

对比上面的代码,很容易看出使用/,代码更简单,更容易理解。之所以写这个博客,不是推荐大家去手动拼接SQL字符串,因为这种做法效率很低,而且很容易出错。实际开发中,我们应该使用JDBC或者hibernate等框架,提供的预编译SQL。使用预编译语句不仅让代码可读性更好,而且还会有性能优势。可以参考这篇文章:

[这两天在项目中遇到一个问题,存入数据库中的数据与用户希望显示的数据有一些不一致,但是存入的数据还是正确的。这样的话,就需要我们在显示数据时做一些处理。项目中对

新都萝莉控
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值